Questa pagina è stata tradotta dall'API Cloud Translation.

Crea un'istanza con credenziali di terze parti

Questa pagina descrive come creare un'istanza di Vertex AI Workbench con credenziali di terze parti.

Panoramica

Puoi creare e gestire istanze di Vertex AI Workbench con credenziali di terze parti fornite dalla federazione delle identità per la forza lavoro. La federazione delle identità per la forza lavoro utilizza il tuo provider di identità (IdP) esterno per concedere a un gruppo di utenti l'accesso alle istanze di Vertex AI Workbench tramite un proxy.

L'accesso a un'istanza di Vertex AI Workbench viene concesso assegnando un'entità del pool di forza lavoro all'account di servizio dell'istanza di Vertex AI Workbench.

Prima di iniziare

Accedi al tuo account Google Cloud. Se non conosci Google Cloud, crea un account per valutare le prestazioni dei nostri prodotti in scenari reali. I nuovi clienti ricevono anche 300 $di crediti gratuiti per l'esecuzione, il test e il deployment dei carichi di lavoro.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Attiva l'API Notebooks.

Abilita l'API

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Go to project selector

Assicurati che la fatturazione sia attivata per il tuo progetto Google Cloud.

Attiva l'API Notebooks.

Abilita l'API

Configura l'IdP con un pool di identità per la forza lavoro.

Ruolo richiesto per creare un'istanza

Per assicurarti che l'entità del pool di forza lavoro disponga delle autorizzazioni necessarie per creare un'istanza di Vertex AI Workbench, chiedi all'amministratore di concedere all'entità del pool di forza lavoro il ruolo IAM Amministratore Notebooks (roles/notebooks.admin) per il progetto. Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

L'amministratore potrebbe anche essere in grado di concedere all'entità del pool di forza lavoro le autorizzazioni richieste mediante ruoli personalizzati o altri ruoli predefiniti.

Ruoli richiesti per l'utilizzo di credenziali di terze parti

L'entità del pool di forza lavoro deve accedere all'account di servizio dell'istanza di Vertex AI Workbench con autorizzazioni specifiche.

Per assicurarti che l'entità del pool di forza lavoro disponga delle autorizzazioni necessarie per utilizzare un'istanza di Vertex AI Workbench con credenziali di terze parti, chiedi all'amministratore di concedere all'entità del pool di forza lavoro i seguenti ruoli IAM nell'account di servizio che specifichi al momento della creazione dell'istanza:

Creatore token account di servizio (roles/iam.serviceAccountTokenCreator)
Utente account di servizio (roles/iam.serviceAccountUser)

Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

L'amministratore potrebbe anche essere in grado di concedere all'entità del pool di forza lavoro le autorizzazioni richieste mediante ruoli personalizzati o altri ruoli predefiniti.

Crea l'istanza utilizzando credenziali di terze parti

Puoi creare un Vertex AI Workbench utilizzando credenziali di terze parti utilizzando la console Google Cloud o gcloud CLI:

Console

Accedi alla console Google Cloud utilizzando un provider di pool di forza lavoro.

Vai alla console
Nella console Google Cloud, vai alla pagina Istanze.

Vai a Istanze
Fai clic su Crea nuovo.
Nella finestra di dialogo Nuova istanza, fai clic su Opzioni avanzate.
Nella finestra di dialogo Crea istanza, nella sezione IAM e sicurezza, segui questi passaggi:
1. Assicurati che l'opzione Account di servizio sia selezionata.
2. Deseleziona Utilizza l'account di servizio Compute Engine predefinito e poi, nel campo Email account di servizio, inserisci l'indirizzo email dell'account di servizio associato all'entità forza lavoro.
Fai clic su Crea.

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab.

gcloud

Segui la guida IAM per l'autenticazione di gcloud CLI con un pool di identità della forza lavoro.

Prima di utilizzare qualsiasi dato di comando riportato di seguito, effettua le seguenti sostituzioni:

INSTANCE_NAME: il nome dell'istanza di Vertex AI Workbench; deve iniziare con una lettera seguita da un massimo di 62 lettere minuscole, numeri o trattini (-) e non può terminare con un trattino
PROJECT_ID: il tuo ID progetto
LOCATION: la zona in cui vuoi che si trovi l'istanza
VM_IMAGE_PROJECT: l'ID del progetto Google Cloud a cui appartiene l'immagine VM, nel formato projects/IMAGE_PROJECT_ID
VM_IMAGE_NAME: il nome completo dell'immagine; per trovare il nome dell'immagine di una versione specifica, consulta Trovare la versione specifica
MACHINE_TYPE: il tipo di macchina della VM dell'istanza
METADATA: metadati personalizzati da applicare a questa istanza. ad esempio, per specificare uno script post-avvio, puoi utilizzare il tag di metadati post-startup-script, nel formato: "--metadata=post-startup-script=gs://BUCKET_NAME/hello.sh"
SERVICE_ACCOUNT_EMAIL: l'indirizzo email dell'account di servizio associato all'entità forza lavoro

Esegui questo seguente comando:

Linux, macOS o Cloud Shell

gcloud workbench instances create INSTANCE_NAME \
    --project=PROJECT_ID \
    --location=LOCATION \
    --vm-image-project=VM_IMAGE_PROJECT \
    --vm-image-name=VM_IMAGE_NAME \
    --machine-type=MACHINE_TYPE \
    --metadata=METADATA \
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (PowerShell)

gcloud workbench instances create INSTANCE_NAME `
    --project=PROJECT_ID `
    --location=LOCATION `
    --vm-image-project=VM_IMAGE_PROJECT `
    --vm-image-name=VM_IMAGE_NAME `
    --machine-type=MACHINE_TYPE `
    --metadata=METADATA `
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Windows (cmd.exe)

gcloud workbench instances create INSTANCE_NAME ^
    --project=PROJECT_ID ^
    --location=LOCATION ^
    --vm-image-project=VM_IMAGE_PROJECT ^
    --vm-image-name=VM_IMAGE_NAME ^
    --machine-type=MACHINE_TYPE ^
    --metadata=METADATA ^
    --service-account-email=SERVICE_ACCOUNT_EMAIL

Per ulteriori informazioni sul comando per creare un'istanza dalla riga di comando, consulta la documentazione dell'interfaccia a riga di comando gcloud.

Vertex AI Workbench crea un'istanza e la avvia automaticamente. Quando l'istanza è pronta per l'uso, Vertex AI Workbench attiva un link Apri JupyterLab nella console Google Cloud.

Accedi a Jupyterlab con credenziali di terze parti

La nuova istanza di Vertex AI Workbench crea due URL proxy separati con i seguenti domini:

byoid.googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che eseguono l'autenticazione con un pool di identità della forza lavoro. Il suo valore è archiviato nel campo dei metadati dell'istanza proxy-byoid-url. Questo valore di metadati attiva un link Apri JupyterLab nella console Identity Federation di Google Cloud Workforce (console.cloud.google/).
googleusercontent.com: questo dominio può essere utilizzato solo dagli utenti che eseguono l'autenticazione con l'autenticazione proprietaria predefinita di Google. Il suo valore è archiviato nel campo di metadati dell'istanza proxy-url. Questo valore di metadati attiva un link Apri JupyterLab nella console Google Cloud (console.cloud.google.com).

Passaggi successivi

Per scoprire di più sulle entità di terze parti da utilizzare per il provisioning dei blocchi note, consulta Federazione delle identità per la forza lavoro.